練習問題に飛び込む
質問1
サイバーセキュリティアナリストがSIEMでトリアージを行っていると、ファイアウォールと調査対象のホストの間のタイムスタンプが43分ずれていることに気付きました。タイムスタンプで発生する可能性が最も高いシナリオは次のうちどれですか?
ある。 NTP サーバがホストに設定されていません。
B. サイバーセキュリティアナリストは間違った情報を見ています。
C. ファイアウォールは UTC 時間を使用しています。
D. ログを持つホストはオフラインです。
質問 2
アナリストは、ユーザーがラップトップを侵害しようとしている悪意のあるファイルをダウンロードしたことを示すアラートをEDRから受信します。アナリストは、マシンを分離した後、次の情報を収集して、どのファイルが実際に悪意のあるファイルであったかを判断します。
| 属性 | 価値 |
| zipcontainer.dll | 6C635BF98BD79102F6096458572... |
| xwizard.dtd | 20052F52C677845A63B2436952E... |
| svch0st.exe | 0AD27DC6B692903C4E129B1AD7... |
アナリストがファイルを識別するために使用している手法は次のうちどれですか?
ある。 ハッシング
B. ファイル拡張子
C. パターン認識
D. コマンドの解釈
質問3
組織のセキュリティ運用チームは、組織のシステムに影響を与える可能性のある潜在的なサイバー攻撃に関するフェイクニュースイベントの問題を経験しています。脅威インテリジェンスを収集するための最も信頼できる情報源は次のうちどれですか?
ある。 人気のハッカーブログ
B. 業界関連の政府速報
C. サイバーセキュリティソーシャルメディアグループ
D. ダークウェブサイバーリソースグループ
質問 4
SOC アナリストは、報告されたアラームのかなりの数が重複を削除した後に閉じられる可能性があると判断しました。次のうち、アナリストが最小限の労力でアラームの数を減らすのに役立つものはどれですか?
ある。 舞い上がる
B. API
C. XDRの
D. 休む
質問 5
製造会社の組立ライン機械は、サポート終了の OS でのみ機能します。その結果、悪用されやすいいくつかのOSの脆弱性に対するパッチは存在しません。次のうち、これらの現在の状態のリスクを軽減するための最良の緩和制御はどれですか?
ある。 厳密なネットワークセグメンテーションを実施して、脆弱なシステムを本番ネットワークから分離します。
B. サービス拒否を防ぐために、脆弱なデバイスのシステムリソースを増やします。
C. 侵入テストを実行して、これらの脆弱性の悪用可能性を検証します。
D. これらの脆弱性に対処するための社内パッチを開発します。
質問 6
セキュリティアナリストは、組織の異なる既知の敵対者間のTTPを比較するために、次のうちどれを使用する可能性が最も高いですか?
ある。 マイターATT&CKの
B. サイバーキルチェーン
C. オワスプ
D. STIX/タクシー
質問 7
サイバーセキュリティインシデントの際、境界ネットワークのWebサーバーの1つがランサムウェアの影響を受けました。次のアクションのうち、すぐに実行する必要があるものはどれですか?
ある。 サーバーをシャットダウンします。
B. サーバーのイメージを再作成します。
C. サーバーを隔離します。
D. OSを最新バージョンにアップデートしてください。
質問 8
次のインシデント対応フェーズのどの段階で根本原因分析が行われますか?
ある。 インシデント後の活動
B. 封じ込め、根絶、回復
C. 準備
D. 検出と分析
質問 9
セキュリティインシデントの終了後に、将来のインシデント対応を改善するために実行する最善のアクションは次のうちどれですか?
ある。 影響を受けるユーザーに通知する呼び出しツリーを作成します。
B. 何が起こったのかについて話し合うために、すべてのチームとのレビューをスケジュールします。
C. 会社のリーダーシップを更新するためのエグゼクティブサマリーを作成します。
D. 公式通知のために広報活動の規制遵守を確認します。
質問 10
アナリストは、最近のインシデントに関連する項目を修復しています。アナリストは脆弱性を分離し、システムから積極的に削除しています。これは、プロセスの次のステップのうちどれを表していますか?
ある。 根絶
B. 回復
C. 封じ込め
D. 準備
アンサーキー
質問1: A (NTP サーバがホストに設定されていません)
質問10: A (根絶)